Infecté par Simda.AF cheval de troie
Résolu/Fermé
KSpecial
Messages postés
34
Date d'inscription
dimanche 29 septembre 2013
Statut
Membre
Dernière intervention
30 septembre 2013
-
Modifié par KSpecial le 29/09/2013 à 00:55
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 30 sept. 2013 à 21:17
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 30 sept. 2013 à 21:17
A voir également:
- Infecté par Simda.AF cheval de troie
- Comment supprimer cheval de troie gratuitement - Télécharger - Antivirus & Antimalwares
- Être à cheval entre deux choses - Forum Études / Formation High-Tech
- Comment créer un cheval de troie pdf ✓ - Forum Virus
- Message cheval de troie - Forum Virus
- Message alerte virus cheval de troie Mac ✓ - Forum MacOS
24 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
Modifié par Malekal_morte- le 29/09/2013 à 01:04
Modifié par Malekal_morte- le 29/09/2013 à 01:04
Salut,
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.
puis :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout en faisant un clic droit / cocher tout
puis bouton supprimer sélection pour tout supprimer.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.
puis :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout en faisant un clic droit / cocher tout
puis bouton supprimer sélection pour tout supprimer.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
KSpecial
Messages postés
34
Date d'inscription
dimanche 29 septembre 2013
Statut
Membre
Dernière intervention
30 septembre 2013
29 sept. 2013 à 01:32
29 sept. 2013 à 01:32
Salut,
Merci de répondre.
Dans un premier temps voici le liens du rapport de TDSSKiller : https://pjjoint.malekal.com/files.php?id=20130929_q11m14t7q8z10
(qui trouve comme NOD32 le WD01000.SYS infecté) ...
Merci de répondre.
Dans un premier temps voici le liens du rapport de TDSSKiller : https://pjjoint.malekal.com/files.php?id=20130929_q11m14t7q8z10
(qui trouve comme NOD32 le WD01000.SYS infecté) ...
KSpecial
Messages postés
34
Date d'inscription
dimanche 29 septembre 2013
Statut
Membre
Dernière intervention
30 septembre 2013
29 sept. 2013 à 01:48
29 sept. 2013 à 01:48
Et voici le rapport de mbam:
Malwarebytes Anti-Malware (PRO) 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2013.09.28.11
Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
KAM'S :: KAM-PC [administrateur]
Protection: Activé
29/09/2013 01:33:59
mbam-log-2013-09-29 (01-33-59).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 224561
Temps écoulé: 9 minute(s),
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
Malwarebytes Anti-Malware (PRO) 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2013.09.28.11
Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
KAM'S :: KAM-PC [administrateur]
Protection: Activé
29/09/2013 01:33:59
mbam-log-2013-09-29 (01-33-59).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 224561
Temps écoulé: 9 minute(s),
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
KSpecial
Messages postés
34
Date d'inscription
dimanche 29 septembre 2013
Statut
Membre
Dernière intervention
30 septembre 2013
29 sept. 2013 à 01:51
29 sept. 2013 à 01:51
Bien sure il y a plus rien car j'avais déjà tout supprimé les fois précédentes, si tu a besoins d'un rapport quand même où il a plus "intéressant" à voir je posterai à nouveau.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
Modifié par Malekal_morte- le 29/09/2013 à 11:19
Modifié par Malekal_morte- le 29/09/2013 à 11:19
Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien pjjoint ici.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien pjjoint ici.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
KSpecial
Messages postés
34
Date d'inscription
dimanche 29 septembre 2013
Statut
Membre
Dernière intervention
30 septembre 2013
Modifié par KSpecial le 29/09/2013 à 12:59
Modifié par KSpecial le 29/09/2013 à 12:59
Re,
Analyse de MBAR en cours actuellement, il a trouvé pour l'instant ce même fichier infecté (WD01000.SYS) par Simda.AF (rootkit).
Le problème c'est que en même temps NOD32 qui est toujours activé détecte C:\ProgrameData\Malwarebytes' Anti-Malware (portable)\Wdf01000.sys_k.mbam et prévoit en action "supprimé (après le prochain redémarrage) - mis en quarantaine".
Est ce que j'aurai du désactiver provisoirement NOD32? et refaire le scan?
Ou cela ne posera pas problème?
Autant le fichier original WD01000.SYS n'arrive pas être supprimé par NOD32 autant là il risque de réussir la suppression de celui qui est stocké par MBAR...
Analyse de MBAR en cours actuellement, il a trouvé pour l'instant ce même fichier infecté (WD01000.SYS) par Simda.AF (rootkit).
Le problème c'est que en même temps NOD32 qui est toujours activé détecte C:\ProgrameData\Malwarebytes' Anti-Malware (portable)\Wdf01000.sys_k.mbam et prévoit en action "supprimé (après le prochain redémarrage) - mis en quarantaine".
Est ce que j'aurai du désactiver provisoirement NOD32? et refaire le scan?
Ou cela ne posera pas problème?
Autant le fichier original WD01000.SYS n'arrive pas être supprimé par NOD32 autant là il risque de réussir la suppression de celui qui est stocké par MBAR...
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
29 sept. 2013 à 13:00
29 sept. 2013 à 13:00
oui désactive NOD32.
KSpecial
Messages postés
34
Date d'inscription
dimanche 29 septembre 2013
Statut
Membre
Dernière intervention
30 septembre 2013
29 sept. 2013 à 13:14
29 sept. 2013 à 13:14
Comme MBAR a finis son scan juste après mon post, j'ai quand même fait "clean up" et voici le rapport https://pjjoint.malekal.com/files.php?id=20130929_v14v11n5z5r11
Si je doit recommencer l'opération avec NOD32 désactivé comme tu viens de le dire, dit le moi et je recommencerais.
Si je doit recommencer l'opération avec NOD32 désactivé comme tu viens de le dire, dit le moi et je recommencerais.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
29 sept. 2013 à 13:18
29 sept. 2013 à 13:18
ok,
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Replacement file found for a file C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys
Infected: C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys --> [Rootkit.RLoader]
oui refais un scan MBAR avec NOD32 désactivé.
C'est juste pour vérifier qu'il l'a bien viré et qu'il ne détecte plus rien.
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Replacement file found for a file C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys
Infected: C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys --> [Rootkit.RLoader]
oui refais un scan MBAR avec NOD32 désactivé.
C'est juste pour vérifier qu'il l'a bien viré et qu'il ne détecte plus rien.
KSpecial
Messages postés
34
Date d'inscription
dimanche 29 septembre 2013
Statut
Membre
Dernière intervention
30 septembre 2013
29 sept. 2013 à 13:30
29 sept. 2013 à 13:30
Scan en cours :s :
Malware found: 1
C:\WINDOWS\SYSTEM32\drivers...
File C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys has been successfuly cured
Infected: C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys --> [Rootkit.RLoader]
Done!
Désinfecté puis infecté à nouveau??
Je re-post le rapport dès que finis.
Malware found: 1
C:\WINDOWS\SYSTEM32\drivers...
File C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys has been successfuly cured
Infected: C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys --> [Rootkit.RLoader]
Done!
Désinfecté puis infecté à nouveau??
Je re-post le rapport dès que finis.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
29 sept. 2013 à 13:32
29 sept. 2013 à 13:32
Je pense qu'il n'a pas été réparé en fait.
KSpecial
Messages postés
34
Date d'inscription
dimanche 29 septembre 2013
Statut
Membre
Dernière intervention
30 septembre 2013
29 sept. 2013 à 13:44
29 sept. 2013 à 13:44
Nouveau rapport:
https://pjjoint.malekal.com/files.php?id=20130929_y11o5n8t12g10
https://pjjoint.malekal.com/files.php?id=20130929_y11o5n8t12g10
KSpecial
Messages postés
34
Date d'inscription
dimanche 29 septembre 2013
Statut
Membre
Dernière intervention
30 septembre 2013
29 sept. 2013 à 13:46
29 sept. 2013 à 13:46
Je viens de relancer un nouveau scan MBAR exactement la même qu'avant...:
Malware found: 1
C:\WINDOWS\SYSTEM32\drivers...
File C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys has been successfuly cured
Infected: C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys --> [Rootkit.RLoader]
Done!
Malware found: 1
C:\WINDOWS\SYSTEM32\drivers...
File C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys has been successfuly cured
Infected: C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys --> [Rootkit.RLoader]
Done!
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
29 sept. 2013 à 14:12
29 sept. 2013 à 14:12
Dans le premier rapport, y avait pas de cure.
Ca donne quoi si tu relances un scan?
Ca donne quoi si tu relances un scan?
KSpecial
Messages postés
34
Date d'inscription
dimanche 29 septembre 2013
Statut
Membre
Dernière intervention
30 septembre 2013
Modifié par KSpecial le 29/09/2013 à 14:25
Modifié par KSpecial le 29/09/2013 à 14:25
Ca donne le petit passage que je donne dans le message d'avant:
C:\WINDOWS\SYSTEM32\drivers...
File C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys has been successfuly cured
Infected: C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys --> [Rootkit.RLoader]
Done!
.
Le rapport je le récupère moi même après le redémarrage (après le clean up) dans le dossier mbar. "system-log.txt"
NOD32 vient de reperer à nouveau l'infection tout seul à nouveau d'ailleur...
Au passage le reboot du pc se passe pas toujours bien "please select ...boot" blabla et obligé de reboot une 2ème fois, j'avais déja parfois ce cas avant hier/aujourd'hui.
C:\WINDOWS\SYSTEM32\drivers...
File C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys has been successfuly cured
Infected: C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys --> [Rootkit.RLoader]
Done!
.
Le rapport je le récupère moi même après le redémarrage (après le clean up) dans le dossier mbar. "system-log.txt"
NOD32 vient de reperer à nouveau l'infection tout seul à nouveau d'ailleur...
Au passage le reboot du pc se passe pas toujours bien "please select ...boot" blabla et obligé de reboot une 2ème fois, j'avais déja parfois ce cas avant hier/aujourd'hui.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
Modifié par Malekal_morte- le 29/09/2013 à 14:29
Modifié par Malekal_morte- le 29/09/2013 à 14:29
ok,
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
Wdf01000.sys
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
Wdf01000.sys
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
KSpecial
Messages postés
34
Date d'inscription
dimanche 29 septembre 2013
Statut
Membre
Dernière intervention
30 septembre 2013
29 sept. 2013 à 14:41
29 sept. 2013 à 14:41
C:\Users\KAM'S\Desktop\OTL.exe n'a pu être enregistré car vous ne pouvez changer le contenu de ce répertoire.
Changez les propriétés du répertoire et essayez à nouveau, ou essayez d'enregistrer ailleurs.
C'est Windows qui me bloque ça ou ce foutu "virus" ? Que doit je faire?
Changez les propriétés du répertoire et essayez à nouveau, ou essayez d'enregistrer ailleurs.
C'est Windows qui me bloque ça ou ce foutu "virus" ? Que doit je faire?
KSpecial
Messages postés
34
Date d'inscription
dimanche 29 septembre 2013
Statut
Membre
Dernière intervention
30 septembre 2013
29 sept. 2013 à 14:44
29 sept. 2013 à 14:44
Désolé , NOD32 désactivé ça marche :s
KSpecial
Messages postés
34
Date d'inscription
dimanche 29 septembre 2013
Statut
Membre
Dernière intervention
30 septembre 2013
29 sept. 2013 à 15:27
29 sept. 2013 à 15:27
Liens des rapports:
OTL: https://pjjoint.malekal.com/files.php?id=20130929_p12t7m5n7v11
Extras: https://pjjoint.malekal.com/files.php?id=20130929_r13e8l13u15q10
OTL: https://pjjoint.malekal.com/files.php?id=20130929_p12t7m5n7v11
Extras: https://pjjoint.malekal.com/files.php?id=20130929_r13e8l13u15q10
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
29 sept. 2013 à 15:49
29 sept. 2013 à 15:49
bon les deux ont l'air pourri.
J'ai trouvé un pour Windows Seven, en espérant que ce soit bon.
Télécharge ça : http://upload.malekal.com/Malware/Wdf01000.zip
Décompresse le dans C:\
Donc tu dois avoir C:\Wdf01000.sys
Ensuite :
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
C:\Windows\System32\drivers\Wdf01000.sys|C:\Wdf01000.sys /replace
:Commands
[reboot]
* poste le rapport ici
Refais un scan OTL et donne le rapport.
J'ai trouvé un pour Windows Seven, en espérant que ce soit bon.
Télécharge ça : http://upload.malekal.com/Malware/Wdf01000.zip
Décompresse le dans C:\
Donc tu dois avoir C:\Wdf01000.sys
Ensuite :
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
C:\Windows\System32\drivers\Wdf01000.sys|C:\Wdf01000.sys /replace
:Commands
[reboot]
* poste le rapport ici
Refais un scan OTL et donne le rapport.
KSpecial
Messages postés
34
Date d'inscription
dimanche 29 septembre 2013
Statut
Membre
Dernière intervention
30 septembre 2013
29 sept. 2013 à 16:11
29 sept. 2013 à 16:11
Je n'ai pas eu de rapport après avoir faire exécuté ta commande, juste un redémarrage nécessaire à l'application de celle-ci.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
29 sept. 2013 à 16:12
29 sept. 2013 à 16:12
ok NOD32 couine encore sur Wdf01000.sys ?
KSpecial
Messages postés
34
Date d'inscription
dimanche 29 septembre 2013
Statut
Membre
Dernière intervention
30 septembre 2013
29 sept. 2013 à 16:13
29 sept. 2013 à 16:13
Le nouveau scan OTL avec ton précedent script? (post N°17) ou comme ca?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
29 sept. 2013 à 16:14
29 sept. 2013 à 16:14
ouaip avec le script.
KSpecial
Messages postés
34
Date d'inscription
dimanche 29 septembre 2013
Statut
Membre
Dernière intervention
30 septembre 2013
29 sept. 2013 à 16:35
29 sept. 2013 à 16:35
Seulement un rapport OTL:
https://pjjoint.malekal.com/files.php?id=20130929_h6q13k11l5g12
https://pjjoint.malekal.com/files.php?id=20130929_h6q13k11l5g12
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
Modifié par Malekal_morte- le 29/09/2013 à 16:41
Modifié par Malekal_morte- le 29/09/2013 à 16:41
la copie ne s'est pas faite.
On va tenter avec The Avenger.
Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
* dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista [img]http://imagesup.org/image[/img]
Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:
begin copying here:
Files to move:
C:\Wdf01000.sys|C:\Windows\System32\drivers\Wdf01000.sys
C:\Wdf01000.sys|C:\Windows\winsxs\x86_microsoft-windows-wdf-kernellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys
» Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt que tu postes et tu vois si ç'est mieux
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
On va tenter avec The Avenger.
Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
* dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista [img]http://imagesup.org/image[/img]
Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:
begin copying here:
Files to move:
C:\Wdf01000.sys|C:\Windows\System32\drivers\Wdf01000.sys
C:\Wdf01000.sys|C:\Windows\winsxs\x86_microsoft-windows-wdf-kernellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys
» Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt que tu postes et tu vois si ç'est mieux
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
KSpecial
Messages postés
34
Date d'inscription
dimanche 29 septembre 2013
Statut
Membre
Dernière intervention
30 septembre 2013
29 sept. 2013 à 16:55
29 sept. 2013 à 16:55
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows Vista
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: could not move file "C:\Wdf01000.sys"
File move operation "C:\Wdf01000.sys|C:\Windows\System32\drivers\Wdf01000.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)
Error: could not move file "C:\Wdf01000.sys"
File move operation "C:\Wdf01000.sys|C:\Windows\winsxs\x86_microsoft-windows-wdf-kernellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)
Completed script processing.
*******************
Finished! Terminate.
http://swandog46.geekstogo.com
Platform: Windows Vista
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: could not move file "C:\Wdf01000.sys"
File move operation "C:\Wdf01000.sys|C:\Windows\System32\drivers\Wdf01000.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)
Error: could not move file "C:\Wdf01000.sys"
File move operation "C:\Wdf01000.sys|C:\Windows\winsxs\x86_microsoft-windows-wdf-kernellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)
Completed script processing.
*******************
Finished! Terminate.
KSpecial
Messages postés
34
Date d'inscription
dimanche 29 septembre 2013
Statut
Membre
Dernière intervention
30 septembre 2013
29 sept. 2013 à 16:56
29 sept. 2013 à 16:56
Qui est ce qui empêche la copie à ton avis?
KSpecial
Messages postés
34
Date d'inscription
dimanche 29 septembre 2013
Statut
Membre
Dernière intervention
30 septembre 2013
29 sept. 2013 à 16:57
29 sept. 2013 à 16:57
(je l'avais bien exécuté en tant qu'admin)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
Modifié par Malekal_morte- le 29/09/2013 à 16:58
Modifié par Malekal_morte- le 29/09/2013 à 16:58
ok copie foirée.
Essaye de redémarrer l'ordinateur, après le premier écran, juste au changement d'écran qui conduit au chargement de Windows, tapte sur F8.
Tu dois avoir un menu avec invites de commandes en mode sans échec.
une fois en invite, tape ces commandes à valider par entrée :
copy C:\Wdf01000.sys C:\Windows\System32\drivers\Wdf01000.sys
copy C:\Wdf01000.sys C:\Windows\winsxs\x86_microsoft-windows-wdf-kernellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys
Si ça te dit accès refusé, laisse tomber.
Utilise alors le Live CD : https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
et démarre dessus, tu auras une icone mon ordinateur, qui te permet de copier le fichier C:\Wdf01000.sys vers C:\Windows\System32\drivers\Wdf01000.sys en écrasant celui existant (malicieux).
Meme chose, copier C:\Wdf01000.sys vers C:\Windows\winsxs\x86_microsoft-windows-wdf-kernellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Essaye de redémarrer l'ordinateur, après le premier écran, juste au changement d'écran qui conduit au chargement de Windows, tapte sur F8.
Tu dois avoir un menu avec invites de commandes en mode sans échec.
une fois en invite, tape ces commandes à valider par entrée :
copy C:\Wdf01000.sys C:\Windows\System32\drivers\Wdf01000.sys
copy C:\Wdf01000.sys C:\Windows\winsxs\x86_microsoft-windows-wdf-kernellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys
Si ça te dit accès refusé, laisse tomber.
Utilise alors le Live CD : https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
et démarre dessus, tu auras une icone mon ordinateur, qui te permet de copier le fichier C:\Wdf01000.sys vers C:\Windows\System32\drivers\Wdf01000.sys en écrasant celui existant (malicieux).
Meme chose, copier C:\Wdf01000.sys vers C:\Windows\winsxs\x86_microsoft-windows-wdf-kernellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
KSpecial
Messages postés
34
Date d'inscription
dimanche 29 septembre 2013
Statut
Membre
Dernière intervention
30 septembre 2013
29 sept. 2013 à 17:02
29 sept. 2013 à 17:02
1000 façons de faire t'es aussi tenace que l'infection que j'ai!
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
29 sept. 2013 à 17:03
29 sept. 2013 à 17:03
La dernière solution devrait à coup sûr permettre de copier le fichier et remplacé celui malicieux.
Faut espérer qu'il ne revienne pas ensuite.
Faut espérer qu'il ne revienne pas ensuite.
KSpecial
Messages postés
34
Date d'inscription
dimanche 29 septembre 2013
Statut
Membre
Dernière intervention
30 septembre 2013
29 sept. 2013 à 17:35
29 sept. 2013 à 17:35
Il y a pas un souci dans les commandes que tu m'a passées?
"erreur de syntaxe"
Il a y a combien de cmd? 2 ou 4
Car si je met seulement "copy C:\Wdf01000.sys" il copie
mais la ligne entière "copy C:\Wdf01000.sys C:\Windows\System32\drivers\Wdf01000.sys " ne marche pas
"erreur de syntaxe"
Il a y a combien de cmd? 2 ou 4
Car si je met seulement "copy C:\Wdf01000.sys" il copie
mais la ligne entière "copy C:\Wdf01000.sys C:\Windows\System32\drivers\Wdf01000.sys " ne marche pas
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
29 sept. 2013 à 17:36
29 sept. 2013 à 17:36
2.
mais la ligne entière "copy C:\Wdf01000.sys C:\Windows\System32\drivers\Wdf01000.sys " ne marche pas
Ca répond quoi ?
mais la ligne entière "copy C:\Wdf01000.sys C:\Windows\System32\drivers\Wdf01000.sys " ne marche pas
Ca répond quoi ?
KSpecial
Messages postés
34
Date d'inscription
dimanche 29 septembre 2013
Statut
Membre
Dernière intervention
30 septembre 2013
29 sept. 2013 à 17:40
29 sept. 2013 à 17:40
erreur syntaxe
En début de ligne avant de taper quoi que ce soit j'ai "C:\windows32" (peut être mal écrit là mais ca démarre là)
En début de ligne avant de taper quoi que ce soit j'ai "C:\windows32" (peut être mal écrit là mais ca démarre là)
KSpecial
Messages postés
34
Date d'inscription
dimanche 29 septembre 2013
Statut
Membre
Dernière intervention
30 septembre 2013
29 sept. 2013 à 18:02
29 sept. 2013 à 18:02
Autant pour moi donc:
1 ligne exécutée OK: "1 fichier copié"
2ème ligne: "0 fichier copié" "accès refusé"
Je suppose qu'il me reste que le live CD.. Je relance le DL car tout à l'heure ça a remplis ma RAM et planté le PC (écran bleu), je vais donc recommencer...
Et je te tiens au courant dans la soirée, je fait un break là car ça ma soulé.
1 ligne exécutée OK: "1 fichier copié"
2ème ligne: "0 fichier copié" "accès refusé"
Je suppose qu'il me reste que le live CD.. Je relance le DL car tout à l'heure ça a remplis ma RAM et planté le PC (écran bleu), je vais donc recommencer...
Et je te tiens au courant dans la soirée, je fait un break là car ça ma soulé.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
29 sept. 2013 à 18:05
29 sept. 2013 à 18:05
ok :)
KSpecial
Messages postés
34
Date d'inscription
dimanche 29 septembre 2013
Statut
Membre
Dernière intervention
30 septembre 2013
Modifié par KSpecial le 29/09/2013 à 20:52
Modifié par KSpecial le 29/09/2013 à 20:52
Bon rien ne va plus, je pense qu'on a fait une bêtise : j'écris "depuis" le live CD. Car mon PC veut plus booter sour mon Seven... et évidement la réparation qui se met en marche au démarrage ne répare rien.
J'avais bien copié le fichier que j'avais mis dans C: dans le dossier Windows\drivers puis est allé dans le bon dossier kernellibrary_blabla.. pour remplacer celui là aussi.
Mais le second était exactement comme celui que tu m'a filé de .sys. En le copiant dans le dossier drivers je pense qu'il s'est tout seul copié dans kernellibrary en même temps.
Autre chose: mon Wdf01000 fesait environs 400 Ko et datait de 2009 mais le tiens fait environ 700Ko et date de 2012.
Le problème c'est que j'ai pas de copie de mon original.
Mon pc est un ASUS G1S (pc portable) sous Windows 7 Pro édition integrale si jamais ya besoin.
Sinon est ce que je peut faire un restauration depuis le live CD? Et ce que ça servirait au moins à avoir le PC qui marche même infecté.?
Need backup please
J'avais bien copié le fichier que j'avais mis dans C: dans le dossier Windows\drivers puis est allé dans le bon dossier kernellibrary_blabla.. pour remplacer celui là aussi.
Mais le second était exactement comme celui que tu m'a filé de .sys. En le copiant dans le dossier drivers je pense qu'il s'est tout seul copié dans kernellibrary en même temps.
Autre chose: mon Wdf01000 fesait environs 400 Ko et datait de 2009 mais le tiens fait environ 700Ko et date de 2012.
Le problème c'est que j'ai pas de copie de mon original.
Mon pc est un ASUS G1S (pc portable) sous Windows 7 Pro édition integrale si jamais ya besoin.
Sinon est ce que je peut faire un restauration depuis le live CD? Et ce que ça servirait au moins à avoir le PC qui marche même infecté.?
Need backup please
KSpecial
Messages postés
34
Date d'inscription
dimanche 29 septembre 2013
Statut
Membre
Dernière intervention
30 septembre 2013
29 sept. 2013 à 20:54
29 sept. 2013 à 20:54
J'ai un 2ème PC portable sous la main au cas où (celui du taf) pour faire des manip.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
29 sept. 2013 à 21:00
29 sept. 2013 à 21:00
Ca doit pas etre un bon Wdf01000.sys
Tu peux essayer celui du portable Pro ?
Sinon faudrait que j'essaye d'en trouver un.
Tu peux essayer celui du portable Pro ?
Sinon faudrait que j'essaye d'en trouver un.